Ahli IT soal Bjorka Bocorkan 6 Juta Data Pajak: Bisa Jadi Modus Penipuan APK
Hacker atau peretas diduga Bjorka menjual enam juta data pajak yang bocor, termasuk milik Presiden Joko Widodo atau Jokowi beserta kedua putranya dan sejumlah menteri seperti Menteri Keuangan Sri Mulyani Indrawati. Ahli IT atau teknologi informasi menilai, kebocoran ini bisa menjadi alat untuk modus penipuan APK.
Sebanyak enam juta data pajak tersebut dijual US$ 10 ribu atau Rp 150 juta di forum jual beli data BreachForums. Hacker yang diduga Bjorka ini menyertakan 10 ribu sampel.
Berdasarkan sampel tersebut, data pajak yang disebar oleh hacker diduga Bjorka itu di antaranya Nomor Induk Kependudukan (NIK), Nomor Pokok Wajib Pajak (NPWP), nama, alamat, kecamatan, kabupaten/kota, provinsi, kode Klasifikasi Lapangan Usaha atau KLU, KLU, nama Kantor Pelayanan Pajak alias KPP, nama Kantor Wilayah atau Kanwil Pajak, telepon, faksimile, email, tempat tanggal lahir, tanggal daftar, status Pengusaha Kena Pajak alias PKP, tanggal pengukuhan PKP, jenis wajib pajak, dan badan hukum.
“Kami menduga data pajak bocor berasal dari Direktorat Jenderal atau Ditjen Pajak, karena memuat data NPWP, Kanwil, KLU hingga tanggal daftar pajak,” kata Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya.
Ia juga sudah mengecek validitas enam juta data pajak yang dijual oleh hacker diduga Bjorka di BreachForums berdasarkan sampel. Hasilnya valid.
Alfons mengatakan kebocoran enam juta data pajak itu berbahaya bagi korban, karena memuat informasi penting. Pemilik bisa mengetahui penghasilan wajib pajak baik individu maupun bisnis.
Ia bahkan mengecek ada tiga wajib pajak kategori besar dalam sampel yang diunggah oleh hacker diduga Bjorka. Alfons tidak menyebutkan nama, melainkan ciri-cirinya, yakni:
- Menteri yang baru saja mundur dari posisi ketua partai politik besar
- Menteri yang juga menjabat sebagai ketua Persatuan Sepakbola seluruh Indonesia atau PSSI
- Menteri perempuan yang berulang tahun pada Agustus dan memimpin Ditjen Pajak
“Dalam waktu tidak lama, data ini akan dieksploitasi dan digunakan untuk rekayasa sosial, aktivitas penipuan yang memalsukan diri sebagai petugas pajak,” kata Alfons.
Alfons pernah membagikan modus penipuan mengatasnamakan Ditjen Pajak. “Hal yang menarik untuk dikupas yakni data yang dimiliki oleh penipu ini cukup akurat dan penting yang seharusnya dijaga dengan baik oleh lembaga terkait seperti Dukcapil dan Dirjen Pajak,” kata dia dalam keterangan tertulis yang diterima oleh Katadata.co.id, awal September (2/9).
Modus penipuan mengatasnamakan Ditjen Pajak tersebut sebagai berikut:
- Penipu awalnya mengganti gambar profil menjadi Ditjen Pajak
- Penipu mengirim pesan melalui WhatsApp
- Penipu mengirim pesan dengan detail informasi data usaha calon korban seperti alamat usaha, nama penanggung jawab, nomor telepon, NIK, NPWP dan email. Data yang dipegang penipu ini membuat sasaran mudah percaya, karena valid.
- Penipu menerapkan metode phishing dengan menyiapkan aplikasi mirip Google Play agar korban menginstal APK pencuri SMS
- Korban diarahkan ke situs http://djp-****mh.cc dan mengunduh aplikasi M-Pajak palsu yang nantinya mencuri SMS ponsel korban jika dijalankan
- Penipu menelepon korban yang menggunakan ponsel selain Android, seperti iPhone.
- Penipu akan mengaku sebagai petugas pajak dan memerinci data-data calon korban supaya percaya
- Jika calon korban terjerat, pelaku akan berpura-pura menagih tunggakan pajak atau memberi laporan pajak yang kurang, sehingga didenda dalam jumlah besar
- Korban diminta mengirimkan uang ke rekening penipu bila ingin dibantu penyelesaian masalah
- Penipu langsung menarik uang yang dikirimkan ke rekening tersebut